正在进行的社会工程活动与黑巴斯塔勒索软件运营商有关

Last updated at Tue, 28 May 2024 21:20:45 GMT

由Rapid7分析师Tyler McGraw, Thomas Elkins和Evan McCann共同撰写

执行概要

Rapid7已经确定了一个正在进行的社会工程活动，该活动一直针对多个管理检测和响应(耐多药)客户. 该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件并打电话给用户, 提供帮助. 攻击者会提示受影响的用户下载远程监控和管理软件，比如AnyDesk，或者利用微软内置的Quick Assist功能来建立远程连接. Once a remote connection has been established, 威胁参与者开始从其基础设施下载有效载荷，以便获取受影响的用户凭据并维护受影响用户资产的持久性.

在一次事件中, Rapid7观察到威胁行为者将Cobalt Strike信标部署到受损网络中的其他资产上. 虽然在任何情况下，Rapid7都没有发现勒索软件的部署, 根据OSINT和Rapid7处理的其他事件响应业务，我们观察到的泄露指标之前与Black Basta勒索软件运营商有关.

概述

自2024年4月下旬以来，Rapid7发现了多个新型社会工程活动的案例. 攻击开始时，目标环境中的一组用户会收到大量垃圾邮件. 在所有观察到的案例中, 垃圾邮件严重到足以压倒现有的电子邮件保护解决方案，并到达用户的收件箱. Rapid7确定许多电子邮件本身并不是恶意的, 而是由来自世界各地众多合法组织的时事通讯注册确认电子邮件组成.

随着邮件的发送, 受影响的用户难以处理大量的垃圾邮件, 然后，威胁行为者开始循环打电话给受影响的用户，假装成他们组织的IT团队成员，向他们提供电子邮件问题的支持. For each user they called, 威胁行为者试图通过使用合法的远程监控和管理解决方案，对用户进行社会工程，以提供对其计算机的远程访问. 在所有观察到的案例中, Rapid7确定，通过下载和执行经常被滥用的RMM解决方案AnyDesk，可以促进初始访问, or the built-in Windows remote support utility Quick Assist.

如果威胁参与者的社会工程尝试未能成功地让用户提供远程访问, Rapid7观察到，他们立即转向了另一个被他们的大量垃圾邮件盯上的用户.

一旦威胁行为者成功获得对用户计算机的访问权限, they begin executing a series of batch scripts, presented to the user as updates, 很可能是为了显得更合法，避免被怀疑. 威胁参与者执行的第一个批处理脚本通常会验证其与命令和控制(C2)服务器的连接，然后下载包含OpenSSH for Windows(最终重命名为***RuntimeBroker)的合法副本的邮政编码归档文件.exe * * *), along with its dependencies, 几个RSA密钥, 和 other Secure Shell (SSH) configuration files. SSH是一种用于通过互联网安全地向远程计算机发送命令的协议. 而在许多批处理脚本中都有硬编码的C2服务器, 有些是这样写的，因此可以在命令行上指定C2服务器和侦听端口作为覆盖.

然后是脚本 establishes persistence via run key entries  in the Windows registry. 批处理脚本创建的运行键指向在运行时创建的其他批处理脚本. 运行密钥指向的每个批处理脚本在无限循环中通过PowerShell执行SSH，以尝试使用下载的RSA私钥建立到指定C2服务器的反向shell连接. Rapid7观察到威胁参与者使用的批处理脚本的几种不同变体, 其中一些还使用其他远程监控和管理解决方案有条件地建立持久性, including Net支持 和 ScreenConnect.

在所有观察到的案例中, Rapid7已经确定使用批处理脚本从命令行使用PowerShell获取受害者的凭据. 凭据是在要求用户登录的“更新”的错误上下文中收集的. In most of the observed batch script variations, 凭据立即通过安全复制命令(SCP)泄露到威胁参与者的服务器。. In at least one other observed script variant, 凭据保存到存档中，必须手动检索.

在一个观察到的案例中, once the initial compromise was completed, 然后，攻击者试图使用Impacket通过SMB在整个环境中横向移动, 尽管多次尝试，但最终未能部署“钴罢工”. 虽然在我们的调查中，Rapid7没有发现成功的数据泄露或勒索软件部署, Rapid7通过取证分析发现的入侵指标与基于内部和开源情报的Black Basta勒索软件组织一致.

法医分析

在一次事件中, Rapid7观察到威胁行为者试图部署额外的远程监控和管理工具，包括ScreenConnect和Net支持远程访问木马(RAT)。. Rapid7 acquired the Client32.ini文件, which holds the configuration data for the Net支持 RAT, including domains for the connection. Rapid7观察到Net支持 RAT试图与以下域通信:

• rewilivak13 [.] com
• greekpool [.] com

After successfully gaining access to the compromised asset, Rapid7观察到威胁行为者试图部署钴打击信标, disguised as a legitimate Dynamic Link Library (DLL) named 7z.DLL, 使用Impacket工具集发送到与受损资产相同网络中的其他资产.

在我们对 7z.DLL, Rapid7观察到DLL被修改为包含一个函数，其目的是使用硬编码密钥对Cobalt Strike信标进行异或解密，然后执行信标.

威胁行为者将试图通过执行合法的二进制7zG来部署Cobalt Strike信标.exe 和 passing a comm和 line argument of `b`, i.e. “C: \ \公共\ 7 zg用户.exe b”. By doing so, the legitimate binary 7zG.exe侧面负载 7z.DLL, which in turn executes the embedded Cobalt Strike beacon. This technique is known as DLL侧载, a method Rapid7 previously discussed in a blog post on the IDAT装载机.

在成功执行后，Rapid7观察到信标注入了一个新创建的进程， 选择.exe.

缓解措施

Rapid7建议为所有已安装的远程监控和管理解决方案设定环境基线，并利用应用程序允许列表解决方案, 例如AppLocker或Microsoft Defender Application Control, 阻止所有未经批准的RMM解决方案在环境中执行. For example, the Quick Assist tool, quickassist.Exe，可以是 blocked from execution via AppLocker.  As an additional precaution, Rapid7建议封锁与所有未经批准的RMM解决方案相关联的域. A public GitHub repo containing a catalog of RMM solutions, 它们的二进制名称, 和 associated domains can be found 在这里.

Rapid7建议确保用户了解已建立的IT渠道和通信方法，以识别和防止常见的社会工程攻击. 我们还建议确保用户有权报告自称来自内部IT人员的可疑电话和短信.

斜接丙氨酸&CK技术

Rapid7客户

通过Rapid7扩展的检测规则库，insighttidr和Managed 检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署并将对与此恶意软件活动相关的行为发出警报的检测的非详尽列表:

Indicators of Compromise

Network Based Indicators (NBIs)

Host-based indicators (HBIs)